Bug w x-news w wersjach 1.*
W systemie newsów, firmy Xqus.com, x-news w wersjach 1.* odkryłem poważną dziurę, która pozwala na zdalne wykonanie dowolnego kodu PHP po stronie atakowanego serwera.
Problem wynika z kilku powodów:
zakodowane hasła przechowywane są w pliku *.txt
możliwe jest zalogowanie się do systemu mając jedynie nazwę użytkownika i zakodowane hasło
przy modyfikacji configu skrypt nie filtruje znaków <,>,’,”,; co daje możliwość zapisu kodu do pliku PHP.
Więcej informacji na sl0wik.com/x-news.txt
Zobacz również odkrytą przez mnie lukę w systemie transakcyjnym Mbanku, dzięki której poprzez odpowiednią manipulację zmiennych można było poszerzyć swoje prawa użytkownika, co dawało dostęp do niedostępnych z założenia sekcji panelu, takich jak zmiana limitów dla kart kredytowych oraz transakcji bezgotówkowych. Więcej w atrykule „Luki w mBanku.